ISO 27001 Nedir, Neden Önemli?

ISO 27001 ve BGYS

👤 Güvenlik Uzmanı★ 1/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

IBM'in 2023 raporuna göre bir veri ihlalinin küresel ortalama maliyeti 4,45 milyon dolara ulaştı. ISO 27001 sertifikalı kuruluşların ihlali tespit ve çözme süresi belgesizlere kıyasla belirgin biçimde daha kısa — peki bu standart tam olarak neyi garanti ediyor?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste ISO/IEC 27001'in ne olduğunu, neden bir 'BGYS' (Bilgi Güvenliği Yönetim Sistemi) kurmamız gerektiğini ve bunun günlük işinize nasıl yansıdığını öğreneceğiz. Soldaki interaktif sahnede (secCiaTriad3D) bilgi güvenliğinin üç temel ilkesi olan Gizlilik, Bütünlük ve Erişilebilirlik (CIA üçlüsü) dengesini canlı olarak inceleyebilir; bir ilkeyi zorladığınızda diğerlerinin nasıl etkilendiğini deneyimleyebilirsiniz.

Anlatım

ISO/IEC 27001 NEDİR? ISO/IEC 27001, bilgi güvenliği yönetimi için uluslararası kabul görmüş tek sertifikalanabilir standarttır. Güncel sürümü ISO/IEC 27001:2022'dir. Standart, kuruma bir 'Bilgi Güvenliği Yönetim Sistemi' (BGYS / ISMS) kurmayı, işletmeyi, izlemeyi ve sürekli iyileştirmeyi şart koşar. Önemli nokta: ISO 27001 size 'şu antivirüsü kur' gibi teknik reçete vermez; bunun yerine 'risklerini sistematik biçimde yönet ve kanıtla' der. Yani odak, ürün değil yönetim sistemidir. ÜÇ TEMEL İLKE — CIA ÜÇLÜSÜ Bilgi güvenliğinin amacı üç özelliği korumaktır (soldaki sahnede görebilirsiniz): • Gizlilik (Confidentiality): Bilgiye yalnızca yetkili kişiler erişir. Örn. maaş bordrosunu sadece İK görür. • Bütünlük (Integrity): Bilgi izinsiz/yanlış değiştirilemez, doğruluğu korunur. Örn. bir faturanın tutarı yetkisiz biçimde değişmemeli. • Erişilebilirlik (Availability): Yetkili kişi ihtiyaç duyduğunda bilgiye ulaşabilir. Örn. fidye yazılımı sistemleri kilitlerse erişilebilirlik çöker. NEDEN ÖNEMLİ? 1) Müşteri ve iş ortağı güveni: Birçok kurumsal müşteri ve ihale, tedarikçiden ISO 27001 belgesi ister. Belge, satış sürecinde fiili bir 'giriş bileti' olabilir. 2) Yasal/regülasyon uyumu: KVKK (6698 sayılı Kanun) kişisel verileri korumak için 'uygun teknik ve idari tedbirler' almayı zorunlu kılar. ISO 27001 BGYS'si bu tedbirleri sistematik kanıtlamanın en yaygın yoludur. 3) Risk azaltımı ve maliyet: İhlaller para cezası, itibar kaybı ve operasyonel durma getirir. Sistematik risk yönetimi bu olasılığı düşürür. 4) Kurum içi disiplin: Roller, sorumluluklar ve süreçler netleşir; 'kimse bilmiyordu' bahanesi ortadan kalkar. NASIL ÇALIŞIR? — PUKÖ DÖNGÜSÜ (PDCA) ve RİSK TEMELLİ YAKLAŞIM Standart, sürekli iyileştirme için Planla-Uygula-Kontrol Et-Önlem Al (PUKÖ / PDCA) döngüsünü benimser. Çekirdeği şudur: varlıkları belirle → riskleri değerlendir → kontroller seç → uygula → izle → iyileştir. Kontroller, standardın 'Annex A' ekinde listelenir. ISO 27001:2022 ile Annex A yeniden düzenlenmiş ve 93 kontrole indirgenmiştir; bunlar 4 tema altında gruplanır: Organizasyonel, İnsan, Fiziksel ve Teknolojik kontroller. SERTİFİKASYON SÜRECİ Belge, akredite bağımsız bir denetim kuruluşunun yaptığı denetimle alınır: Aşama 1 (doküman/hazırlık incelemesi) → Aşama 2 (uygulama denetimi) → belge → her yıl ara (gözetim) denetimi → 3 yılda bir yeniden belgelendirme. Belge kurumun adınadır; çalışan olarak rolünüz, kuralları uygulayarak bu belgenin geçerliliğini korumaktır. ÇALIŞAN OLARAK SİZİN ROLÜNÜZ — YAPILMASI GEREKENLER • Temiz masa / temiz ekran: Hassas belgeleri ortada bırakmayın, bilgisayarı kilitlemeden masadan ayrılmayın (Win+L / Ctrl+Cmd+Q). • Bilgiyi sınıflandırmaya uyun: 'Gizli' etiketli dosyayı kişisel buluta veya WhatsApp'a taşımayın. • Olayı bildirin: Şüpheli e-posta, kayıp telefon veya yanlış kişiye giden e-postayı hemen bilgi güvenliği ekibine raporlayın — gizlemek ihlali büyütür. • Erişim talebi prosedürüne uyun: İhtiyacınız olmayan sisteme erişim istemeyin (en az ayrıcalık ilkesi). YAPILMAMASI GEREKENLER (DON'T) • Parolaları paylaşmak veya post-it'e yazmak. • 'İşi hızlandırmak için' güvenlik kontrolünü atlatmak (ör. paylaşımı 'herkese açık' yapmak). • Politikayı 'sadece BT'nin işi' sanmak — bilgi güvenliği herkesin sorumluluğudur. KVKK BAĞLANTISI KVKK md.12, veri sorumlusuna kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbir alma yükümlülüğü verir. ISO 27001 Annex A kontrolleri (erişim kontrolü, şifreleme, olay yönetimi, tedarikçi güvenliği) bu tedbirlerin somut karşılığıdır. Yani ISO 27001 uyumu, KVKK uyumunu doğrudan güçlendirir.

📌 Senaryolar

📌 Senaryo 1: Bir müşteri adayı, sözleşme öncesi 'ISO 27001 belgenizi paylaşır mısınız?' diye soruyor ve siz satış ekibindesiniz.
  Doğru davranış: Belgenin kurumsal olduğunu, geçerli kopyasını bilgi güvenliği/kalite ekibinden talep ederek müşteriye iletmek; belge yoksa durumu dürüstçe iletip uyum yol haritasını paylaşmak.
  Sonuç/Neden: ISO 27001 birçok kurumsal alımda ön koşuldur; belgenin güncel ve akredite olması güveni sağlar, sahte/eski belge ciddi itibar riski doğurur.

📌 Senaryo 2: Acil bir iş için, üzerinde 'Gizli' etiketi olan müşteri listesini hızlıca ulaştırmak istiyorsunuz ve kişisel Gmail'inize göndermeyi düşünüyorsunuz.
  Doğru davranış: Kişisel hesaba GÖNDERMEMEK; kurumun onaylı kanalını (kurumsal e-posta/güvenli dosya paylaşımı) kullanmak, gerekiyorsa erişim talebini prosedürle açmak.
  Sonuç/Neden: Bilgiyi onaysız bir ortama taşımak 'gizlilik' ilkesini ihlal eder; KVKK kapsamında kişisel veri ise bu, idari tedbirlerin çiğnenmesi ve bildirimi gereken bir olay olabilir.

📌 Senaryo 3: Bilgisayarınızdan kısa bir kahve molası için ayrılıyorsunuz; ekranda açık birkaç müşteri kaydı var.
  Doğru davranış: Ayrılmadan önce ekranı kilitlemek (Windows'ta Win+L). Masadaki basılı hassas belgeleri kilitli çekmeceye koymak (temiz masa/temiz ekran ilkesi).
  Sonuç/Neden: Kilitlenmemiş ekran, yoldan geçen herkese yetkisiz erişim verir; bu Annex A erişim kontrolü ve fiziksel güvenlik kontrollerinin temel bir gereğidir.

📌 Senaryo 4: Gece bir fidye yazılımı saldırısı ortak dosya sunucusunu şifreledi ve sabah dosyalara erişemiyorsunuz.
  Doğru davranış: Kendi başınıza 'düzeltmeye' çalışmadan olayı derhal olay bildirim kanalından bilgi güvenliği ekibine raporlamak; etkilenen cihazı ağdan izole etmek için talimat beklemek.
  Sonuç/Neden: Bu olay 'erişilebilirlik' ilkesinin çöküşüdür. ISO 27001 olay yönetimi süreci hızlı bildirim ve düzenli yedeklerle ayağa kalkmayı hedefler; geç bildirim hasarı büyütür.

📌 Senaryo 5: Bir kolleginiz acelesi olduğunu söyleyip kendi hesabıyla giriş yapamadığını, sizin parolanızı 'bir dakikalığına' kullanmak istediğini söylüyor.
  Doğru davranış: Parolayı PAYLAŞMAMAK; meslektaşı kendi erişim talebini açmaya veya yetkili amire başvurmaya yönlendirmek.
  Sonuç/Neden: Parola paylaşımı hesap verebilirliği (kim ne yaptı) yok eder ve en az ayrıcalık ilkesini bozar; bir ihlal olursa iz kaydı yanlış kişiyi gösterir, bu da BGYS denetiminde önemli bir uygunsuzluktur.

Özet

• ISO/IEC 27001:2022, bilgi güvenliği için sertifikalanabilir tek uluslararası standarttır; teknik reçete değil, risk temelli bir yönetim sistemi (BGYS) kurmayı şart koşar. • Korunan üç ilke CIA üçlüsüdür: Gizlilik, Bütünlük, Erişilebilirlik. • Standart PUKÖ (PDCA) döngüsüyle sürekli iyileştirme ister; kontroller Annex A'da yer alır (2022 sürümünde 93 kontrol, 4 tema). • Belge müşteri güveni, KVKK md.12 uyumu, risk ve maliyet azaltımı için kritik bir rekabet avantajıdır. • Belge kurumundur ama geçerliliği çalışanların günlük davranışına bağlıdır: temiz masa/ekran, olay bildirimi, parola gizliliği, en az ayrıcalık. • ISO 27001 Annex A kontrolleri, KVKK'nın istediği 'uygun teknik ve idari tedbirler'in somut karşılığıdır.

✅ Mini-Test (5)

1.ISO/IEC 27001 temel olarak neyi şart koşar?

2.Bilgi güvenliğinin 'CIA üçlüsü' aşağıdakilerden hangisidir?

3.ISO 27001 sertifikası kuruma verilir; ancak geçerliliğinin korunması çalışanların günlük güvenlik davranışlarına bağlıdır.

4.ISO 27001'in KVKK ile ilişkisi en doğru biçimde nasıl açıklanır?

5.ISO 27001'in benimsediği sürekli iyileştirme döngüsü hangisidir?

🧩 Uygulama Soruları (5)

1.Masanızdan ayrılırken bilgisayarınızda birkaç müşteri kaydı açık. ISO 27001 'temiz ekran' ilkesine göre ne yaparsınız?

2.Bir meslektaşınız 'acele işim var' diyerek bir dakikalığına sizin parolanızı kullanmak istiyor. Doğru tepki nedir?

3.Bir fidye yazılımı dosya sunucusunu şifreledi ve sistemlere erişemiyorsunuz. Bilgi güvenliğinin hangi ilkesi ihlal edilmiştir ve ilk adımınız ne olmalı?

4.Kurumsal bir müşteri sözleşme öncesi geçerli ISO 27001 belgesi istiyor. Satış temsilcisi olarak en doğru davranış nedir?

5.'Gizli' olarak sınıflandırılmış bir müşteri listesini hızlıca paylaşmanız gerekiyor. ISO 27001 ve KVKK açısından doğru kanal hangisidir?

← Güvenlik Kültürü ve İnsan Fakt BGYS ve PUKÖ (PDCA) Döngüsü →

← Tüm modüllere dön · Güvenlik Sözlüğü